電子署名アルゴリズムに脆弱性を発見（Bell Labs社）

　Lucent Technologies社の研究開発機関Bell Labs社の研究者が電子署名アルゴリズム（DSA）に脆弱性を発見した。その脆弱性は、インターネット上で行う業務の安全性を脅かし、VPN（仮想私設網）やオンライン・ショッピングそしてオンライン上での金融取引に影響を与える

国際海外情報

2001.2.15 Thu 12:00

　Lucent Technologies社の研究開発機関Bell Labs社の研究者が電子署名アルゴリズム（DSA）に脆弱性を発見した。その脆弱性は、インターネット上で行う業務の安全性を脅かし、VPN（仮想私設網）やオンライン・ショッピングそしてオンライン上での金融取引に影響を与える危険性がある。

　同社の発表によると、Daniel Bleichenbacher氏はDSAの乱数生成技術に脆弱性を発見した。それは、DSAの乱数生成に偏りがあり、特定領域から数字を選択する確立が他の領域よりも2倍高いというものだ。

　DSAは米国家安全保障局が設計し、電子署名標準（DSS）に基づき電子署名の作成および確認のため認定された三つの認証アルゴリズムのうちの一つだ。電子署名を使用することで、ソフトウェアは電子取引の終わりにその取引を開始した主体の識別を確認し、受け取った情報の完全性を検証できる。

　同社によると、その脆弱性を攻撃するには高性能なスーパーコンピュータが必要なため、現時点ではまだその脅威は小さいという。

　DSSは米国連邦標準技術局（NIST）により開発され、米国規格協会（ANSI）や米国電気電子技術者協会により採用されている。Bleichenbacher氏は、それらの標準化組織がDSAに修正を加えて、アプリケーションのプロバイダがソフトウェアに実装すべきと勧告し、それを受けてNISTは、DSAの脆弱性に修正を加えることに同意した。現在DSA仕様の改訂作業を現在進めており、2月中にも改訂版を提案する予定だ。

《ScanNetSecurity》